httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From "Oliver Etzel - GoodnGo.COM \(R\)" <oli...@goodngo.com>
Subject Abwehr Wurm
Date Tue, 24 Sep 2002 17:43:44 GMT
Hallo Jochen,

> wie wehre ich den Wurm ab?

Der Apache Wurm, ein wahrer Springteufel, da er auch das umliegende Netz
lahmlegt und alle verrückt macht.

Kurze Erläuterung:
Dieser Apache Wurm sucht selbstständig nach anderen Opfern und verbreitet
sich so weiter.
Die betroffenen Rechner lauschen auf dem UDP Port 2002 oder 4156 (neueste
Version) und könnten für eine "Distributed Denial of Service Attacke" (DDoS)
genutzt werden, da der Wurm eine entsprechende Schadensroutine enthält.

Abwehr:
Um den Bug in OpenSSL zu beheben und das Sicherheitsloch zu schließen, wird
dringend empfohlen, OpenSSL auf Version 0.9.6e oder höher upzudaten. Die
aktuelle Version ist 0.9.6.g.

Das neueste Update finden sie hier :  openssl-update.  (
http://www.openssl.org/source )

Bisschen warten openssl.org-Seite ist stark frequentiert. Beide Tarbälle zu
download direkt hier:

Download direkt:
http://www.openssl.org/source/openssl-engine-0.9.6g.tar.gz
http://www.openssl.org/source/openssl-0.9.6g.tar.gz


downloaden und dann auf Ihren Linuxserver ftp´n.

Installation:

Vom Verzeichnis in dem sich die beiden Tarbälle befinden:

     cp *.tar.gz to /tmp

* Den Tarball openssl-0.9.6g.tar.gz entpacken und das Verzeichnis
openssl-0.9.6g/ freilegen und openssl installieren:

     cd /tmp
     tar -zxvf openssl-0.9.6g.tar.gz
     cd openssl-0.9.6g.tar.gz
     ./config shared
     make
     make test
     make install


* Den Tarball openssl-engine-0.9.6g.tar.gz entpacken und das Verzeichnis
openssl-engine.0.9.6g/ freilegen und openssl-engine installieren:

     cd /tmp
     tar -zxvf openssl-engine-0.9.6g.tar.gz
     cd openssl-engine-0.9.6g.tar.gz
     ./config shared
     make
     make test
     make install

* Löschen der openssl rpm ´s:

     rpm --erase --nodeps openssl

* Die neu angelegten Dateien verlinken:

     cd /usr/lib
     rm libcrypto.so
     rm libcrypto.so.1
     rm libcrypto.so.2
     rm libssl.so
     rm libssl.so.1
     rm libssl.so.2
     ln -s /usr/local/ssl/lib/libcrypto.so libcrypto.so
     ln -s /usr/local/ssl/lib/libcrypto.so libcrypto.so.1
     ln -s /usr/local/ssl/lib/libcrypto.so libcrypto.so.2
     ln -s /usr/local/ssl/lib/libssl.so libssl.so
     ln -s /usr/local/ssl/lib/libssl.so libssl.so.1
     ln -s /usr/local/ssl/lib/libssl.so libssl.so.2

     ln -s /usr/local/ssl/include/ /usr/include/ssl

     cd /usr/include
     rm -rf openssl
     ln -s /usr/local/ssl/include/openssl openssl

* ldconfig restarten
  *  Aufruf von ldconfig, welches Links auf die aktuellen Versionen der
shared libraries auf den
  *  neuesten Stand bringt.


     cd /etc
     rm ld.so.cache

     vi ld.so.conf

        -> reinschreiben unten:                  /usr/local/ssl/lib
        -> reinschreiben ganz unten:          /usr/local/lib       <--
optional

     ldconfig


Fertig.

Testen:
Der Wurm vollbringt sein diabolischen Werk über Port 2002 und neuerdings
auch über Port 4156. Diese Ports sind zu testen

netstat -an | grep 2002
netstat -an | grep 4156

Keine Meldung, dann ist Ihr System vor diesem Wurm sicher.

Welche Ports an Ihrem System erfahren Sie mit nmap.Zu finden unter
http://freshmeat.net/search/?q=nmap&section=projects

Mit nmap können Sie Ihr Netzwerk nach offenen Ports untersuchen. Ein
Analysetool.

Sollten Sie Hilfestellung benötigen oder einen besseren Lösungsweg kennen,
scheuen Sie sich nicht mich zu kontaktieren.
Wenn Sie Fragen oder Anregungen haben, dann setzen Sie sich  bitte einfach
unter Tel: 089 54071102, e-Mail: info@t-host.de oder Fax: 089 54071103 mit
uns in Verbindung.

Mit freundlichen Grüssen

Oliver Etzel
secure serverhousing www.t-host.de



Mime
View raw message